hacktricks/windows-hardening/checklist-windows-privilege-escalation.md

Checklist - Local Windows Privilege Escalation

Aprende hacking en AWS de cero a héroe con htARTE (Experto en Red Team de AWS de HackTricks)!

Otras formas de apoyar a HackTricks:

• Si deseas ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF ¡Consulta los PLANES DE SUSCRIPCIÓN!
• Obtén la merchandising oficial de PEASS & HackTricks
• Descubre La Familia PEASS, nuestra colección exclusiva de NFTs
• Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @carlospolopm.
• Comparte tus trucos de hacking enviando PRs a los repositorios de HackTricks y HackTricks Cloud.

Grupo de Seguridad Try Hard

{% embed url="https://discord.gg/tryhardsecurity" %}

---

Mejor herramienta para buscar vectores de escalada de privilegios locales en Windows: WinPEAS

Información del sistema

• Obtener información del sistema
• Buscar exploits de kernel utilizando scripts
• Usar Google para buscar exploits de kernel
• Usar searchsploit para buscar exploits de kernel
• ¿Información interesante en las variables de entorno?
• Contraseñas en el historial de PowerShell?
• Información interesante en la configuración de Internet?
• Unidades?
• Explotación de WSUS?
• AlwaysInstallElevated?

Enumeración de registro/AV

• Verificar la configuración de Auditoría y WEF
• Verificar LAPS
• Verificar si está activo WDigest
• Protección de LSA?
• Guardia de Credenciales?
• Credenciales en caché?
• Verificar si hay algún AV
• Política de AppLocker?
• UAC
• Privilegios de usuario
• Verificar los privilegios actuales del usuario
• ¿Eres miembro de algún grupo privilegiado?
• Verificar si tienes habilitados algunos de estos tokens: SeImpersonatePrivilege, SeAssignPrimaryPrivilege, SeTcbPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeCreateTokenPrivilege, SeLoadDriverPrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege ?
• Sesiones de usuarios?
• Verificar los directorios de inicio de usuarios (¿acceso?)
• Verificar la política de contraseñas
• ¿Qué hay dentro del Portapapeles?

Red

• Verificar la información de red actual
• Verificar los servicios locales ocultos restringidos al exterior

Procesos en ejecución

• Permisos de archivos y carpetas de los binarios de procesos
• Extracción de contraseñas de memoria
• Aplicaciones GUI inseguras
• ¿Robar credenciales con procesos interesantes a través de ProcDump.exe? (firefox, chrome, etc ...)

Servicios

• ¿Puedes modificar algún servicio?
• ¿Puedes modificar el binario que es ejecutado por algún servicio?
• ¿Puedes modificar el registro de algún servicio?
• ¿Puedes aprovecharte de alguna ruta de binario de servicio sin comillas? (windows-local-privilege-escalation/#unquoted-service-paths)

Aplicaciones

• Permisos de escritura en aplicaciones instaladas](windows-local-privilege-escalation/#write-permissions)
• Aplicaciones de inicio
• Controladores Vulnerables

Secuestro de DLL

• ¿Puedes escribir en cualquier carpeta dentro de PATH?
• ¿Hay algún binario de servicio conocido que intente cargar alguna DLL inexistente?
• ¿Puedes escribir en alguna carpeta de binarios?

Red

• Enumera la red (compartidos, interfaces, rutas, vecinos, ...)
• Presta especial atención a los servicios de red que escuchan en localhost (127.0.0.1)

Credenciales de Windows

• Credenciales de Winlogon
• ¿Credenciales de Windows Vault que podrías usar?
• ¿Credenciales de DPAPI interesantes?
• Contraseñas de redes Wifi guardadas
• Información interesante en conexiones RDP guardadas?
• Contraseñas en comandos ejecutados recientemente?
• Contraseñas del Administrador de credenciales de Escritorio remoto?
• ¿Existe AppCmd.exe? ¿Credenciales?
• SCClient.exe? ¿Carga lateral de DLL?

Archivos y Registro (Credenciales)

• Putty: Credenciales y claves de host SSH
• ¿Claves SSH en el registro?
• Contraseñas en archivos sin supervisión?
• ¿Algún respaldo de SAM & SYSTEM?
• ¿Credenciales de nube?
• Archivo McAfee SiteList.xml?
• Contraseña GPP en caché?
• Contraseña en el archivo de configuración web de IIS?
• Información interesante en logs web?
• ¿Quieres solicitar credenciales al usuario?
• Archivos interesantes dentro de la Papelera de reciclaje?
• Otro registro que contiene credenciales?
• Dentro de los datos del navegador (bases de datos, historial, marcadores, ...)?
• Búsqueda genérica de contraseñas en archivos y registro
• Herramientas para buscar contraseñas automáticamente

Manejadores Filtrados

• ¿Tienes acceso a algún manejador de un proceso ejecutado por el administrador?

Impersonación de Cliente de Tubería

• Verifica si puedes abusar de ello

Grupo de Seguridad Try Hard

{% embed url="https://discord.gg/tryhardsecurity" %}

Aprende hacking en AWS desde cero hasta experto con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

• Si deseas ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF ¡Consulta los PLANES DE SUSCRIPCIÓN!
• Obtén la merchandising oficial de PEASS & HackTricks
• Descubre The PEASS Family, nuestra colección exclusiva de NFTs
• Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @carlospolopm.
• Comparte tus trucos de hacking enviando PRs a los repositorios de HackTricks y HackTricks Cloud.